【正文】 A13 PC2 惡意代碼或病毒 木馬和后門 4 否 數(shù)據(jù)篡改 SMB shares access 3 是 竊密 弱口令 5 否 A14 UPS 硬件故障 設(shè)備不穩(wěn)定 4 否 A15 空調(diào) 硬件故障 設(shè)備不穩(wěn)定 3 是 風(fēng)險(xiǎn)控制需求分析 按照系統(tǒng)的風(fēng)險(xiǎn)等級(jí)接受程度，通過對(duì)本信息系統(tǒng)技術(shù)層面的安全功能、組織層面的安全控制和管理層面的安全對(duì)策進(jìn)行分析描述，形成已有安全措施的需求分析結(jié)果，如表 813所示。 編號(hào) 控制需求 說明 R1 保障 XXXX系統(tǒng)內(nèi)網(wǎng)的正常運(yùn)行。 R2 保障 XXXX系統(tǒng)外網(wǎng)的正常運(yùn)行。 R3 保障辦公用計(jì)算機(jī)系統(tǒng)正常運(yùn)行。 R4 保障網(wǎng)站信息的正常發(fā)布。 R5 保證基本信息的保密性、完整性、可用性。 表 813 風(fēng)險(xiǎn)控制需求分析表 風(fēng)險(xiǎn) 控制目 標(biāo) 依據(jù) 《 風(fēng)險(xiǎn)接受等級(jí)劃分表 》 （表 812）、 《 風(fēng)險(xiǎn)控制需求分析表 》 （表 813），確定風(fēng)險(xiǎn)控制目標(biāo)， 如表 814所示。 編號(hào) 控制目標(biāo) 需求 T1 數(shù)據(jù)庫系統(tǒng)（內(nèi)、外網(wǎng)數(shù)據(jù)庫服務(wù)器） R R R5 T2 網(wǎng)絡(luò)支撐系統(tǒng)（路由器、交換機(jī)、通信線路） R R R R5 T3 網(wǎng)絡(luò)安全系統(tǒng)（防病毒、防火墻、數(shù)據(jù)恢復(fù)、 IDS、漏洞掃描） R R R R5 T4 網(wǎng)絡(luò)管理系統(tǒng)（ CISCOWORKS、 HPOPENVIEW） R R R R5 T5 網(wǎng)上信息發(fā)布系統(tǒng)（內(nèi)、外網(wǎng) WEB服務(wù)器） R4 T6 終端系統(tǒng)（ PC、筆記本電腦） R3 T7 介質(zhì)及文檔（數(shù)據(jù)備份文檔等） R R R5 表 814 控制目標(biāo) 控制措施 選擇 依據(jù) 《 風(fēng)險(xiǎn)控制需求分析表 》 （表 813）、 《 控制目標(biāo)表 》 （表 814），針對(duì)控制目標(biāo)，綜合考慮控制成本和實(shí)際的風(fēng)險(xiǎn)控制需求，建議采取適當(dāng)?shù)目刂拼胧?，如?815所示。 編號(hào) 控制措施 對(duì)應(yīng)控制目標(biāo) 優(yōu)先級(jí) M1 制定具體科室負(fù)責(zé)信息安全工作，明確人員及其分工。 T1～ T7 高 M2 制定定期開展信息安全意識(shí)教育培訓(xùn)的計(jì)劃并落實(shí)。 T1～ T7 高 M3 對(duì)所屬的服務(wù)器和主機(jī)進(jìn)行安全配置檢查，并重新配置安全策略。 T1～ T7 高 M4 開啟重要服務(wù)器和主機(jī)的審計(jì)功能，并制定審計(jì)記錄的維護(hù)和分析流程。 T1～ T7 高 M5 對(duì)內(nèi)、外網(wǎng)的服務(wù)器默認(rèn)配置進(jìn)行必要的更改。 T1～ T7 高 M6 制定具體的備份與恢復(fù)制度。 T T7 高 M7 制定具體的安全事件處理制度。 T1～ T7 高 M8 對(duì)應(yīng)用系統(tǒng)制定統(tǒng)一的完整性保護(hù)策略，并使用有效工具進(jìn)行完整性約束。 T1～ T7 高 M9 制定合理的資源分配策略，包括：最大并發(fā)連接數(shù)，最小并發(fā)連接數(shù)，單個(gè)用戶會(huì)話數(shù)量等。 T1～ T7 高 M10 及時(shí)針對(duì)安全漏洞打補(bǔ)丁。 T1～ T7 高 M11 對(duì)用戶文件制定統(tǒng)一的完整性保護(hù)策略，并使用有效工具進(jìn)行完整性約束。 T1～ T7 高 M12 完善對(duì)介質(zhì)的管理。 T7 中 M13 制定操作層面的管理制度。 T1～ T7 中 M14 使用清晰、耐久的標(biāo)簽對(duì)線纜、插座進(jìn)行標(biāo)識(shí)；保證布線的合理性。 T1～ T7 中 M15 對(duì)通信線路進(jìn)行定期的檢查并記錄。 T1～ T7 中 M16 解決機(jī)房的溫控問題。 T1～ T7 中 表 815 安全控制措施選擇 編寫 信息安全 風(fēng)險(xiǎn)評(píng) 估 報(bào) 告 最后，編寫記錄 信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估過程得到的所有結(jié)果 的風(fēng)險(xiǎn)評(píng)估報(bào)告，完成對(duì)本系統(tǒng)的風(fēng)險(xiǎn)評(píng)估。 具體步驟如下： 1． 風(fēng)險(xiǎn)評(píng) 估的準(zhǔn) 備 工作。 ⑴ 確定 風(fēng)險(xiǎn)評(píng) 估的目 標(biāo) ； ⑵ 確定 風(fēng)險(xiǎn)評(píng) 估的范 圍 ； ⑶ 組 建適 當(dāng) 的 評(píng) 估管理 與實(shí) 施 團(tuán)隊(duì) ； ⑷ 進(jìn)行系統(tǒng)調(diào)研； ⑸ 確定評(píng)估依據(jù)和方法； ⑹ 獲得最高管理者對(duì)風(fēng)險(xiǎn)評(píng)估工作的支持 2． 識(shí)別并評(píng) 價(jià) 資產(chǎn) 。 在劃定的評(píng)估范圍內(nèi)，以網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖的業(yè)務(wù)系統(tǒng)為主線，列出所有網(wǎng)絡(luò)上的物理資產(chǎn)、軟件資產(chǎn)和數(shù)據(jù)資產(chǎn)，形成一個(gè)信息資產(chǎn)的清單。在識(shí)別出所有信息資產(chǎn)后，為每項(xiàng)資產(chǎn)賦值。對(duì)資產(chǎn)的保密性、完整性和可用性這三個(gè)安全屬性分別賦值，根據(jù)三個(gè)安全屬性的權(quán)值計(jì)算資產(chǎn)的價(jià)值。形成 《 系統(tǒng)信息資產(chǎn)識(shí)別清單 》 。確定關(guān)鍵資產(chǎn)，詳細(xì)識(shí)別關(guān)鍵資產(chǎn)的安全屬性，并對(duì)關(guān)鍵資產(chǎn)的重要性進(jìn)行賦值，形成 《 系統(tǒng)重要信息資產(chǎn)評(píng)估報(bào)告 》 。 本階段所采用的方法包括： （ 1）會(huì)議：召集評(píng)估小組成員和相關(guān)人員進(jìn)行資產(chǎn)分析會(huì)議； （ 2）手工記錄表格：通過資產(chǎn)調(diào)查表的填寫確定信息資產(chǎn)狀況。 3． 識(shí)別并評(píng) 估威 脅 。 識(shí)別關(guān)鍵資產(chǎn)所面臨的威脅，及威脅對(duì)資產(chǎn)所產(chǎn)生的影響。形成 《 威脅列表 》 。本階段所采用的方法包括： （ 1） IDS采樣分析。使用 IDS，通過對(duì)網(wǎng)絡(luò)流量進(jìn)行不間斷的分析，從中發(fā)現(xiàn)攻擊、入侵或非法訪問等行為。 （ 2）日志分析。通過檢查不同來源的日志文件發(fā)現(xiàn)曾經(jīng)發(fā)生過的威脅，獲取威脅信息。 （ 3）人員訪談。評(píng)估小組成員與規(guī)劃編寫人員及項(xiàng)目建設(shè)人員進(jìn)行訪談交流。 4． 識(shí)別并評(píng) 估脆弱性。 從技術(shù)、管理和策略三個(gè)方面進(jìn)行脆弱性評(píng)估，其中在技術(shù) 方面主要是通過遠(yuǎn)程和本地兩種方式進(jìn)行系統(tǒng)掃描、對(duì)網(wǎng)絡(luò)設(shè)備 和主機(jī)等進(jìn)行適當(dāng)?shù)娜斯こ椴?、?duì)關(guān)鍵外網(wǎng)服務(wù)主機(jī)進(jìn)行遠(yuǎn)程滲 透測試。管理脆弱性評(píng)估方面主要對(duì)現(xiàn)有的安全管理制度及其執(zhí) 行情況進(jìn)行檢查，發(fā)現(xiàn)其中的管理漏洞和不足；策略脆弱性評(píng)估 方面主要是從整體網(wǎng)絡(luò)安全的角度對(duì)現(xiàn)有的網(wǎng)絡(luò)安全策略。 進(jìn)行全局性的評(píng)估，它也包括了技術(shù)和管理方面的內(nèi)容。脆弱性評(píng)估階段形成文檔 《 脆弱性列表 》 。 此階段所采用的方法包括： （ 1）利用漏洞掃描工具進(jìn)行掃描； （ 2）滲透測試； （ 3）各類檢查列表。 5． 風(fēng)險(xiǎn) 分析。 通過分析上面所評(píng)估的數(shù)據(jù)，進(jìn)行風(fēng)險(xiǎn)值計(jì)算，確定風(fēng)險(xiǎn)等級(jí)，確認(rèn)高風(fēng)險(xiǎn)因素，提出整改意見。形成 《 風(fēng)險(xiǎn)分析報(bào)告 》和 《 規(guī)劃整改意見 》 。此階段所采用的方法包括： （ 1）會(huì)議：召集評(píng)估小組成員進(jìn)行風(fēng)險(xiǎn)分析會(huì)議。 （ 2）咨詢交流：評(píng)估小組成員與相關(guān)人員及第三方專家 進(jìn)行訪談交流。 （ 3）資料審查確認(rèn)：評(píng)估小組成員將對(duì)形成的風(fēng)險(xiǎn)分析 報(bào)告和整改建議進(jìn)行審查確認(rèn)。